pierdo la conexion a internet

jllamata · Mensaje por **jllamata** » 06 Oct 2007, 10:48

Buenas, creo que estoy infectado con algún tipo de virus que hace que pierda mi conexion a internet.

Al arrancar puedo acceder a internet pero al poco tiempo dejo de tener acceso.

Recibo varios mensajes de error que describo a continuación:

1-

RUNDLL

X Error al cargar c:\WINDOWS\system32\dnrapguu.dll

No se puede encontrar el modulo especificado

2-

Error al cargar ̕I

No se puede encontrar el modulo especificado

En algunas ocasiones, al arrancar el sistema aparece el siguiente mensaje:

STOP: C000021 A { Error grave del sistema}

El proceso del sistema Windows logon Process terminó inesperadamente con un estado de 0x00000000 (0x00000000 0x0000000)

Se ha apagado el sistema

Posteo infosat:

Sat Oct 06 09:30:03 2007

EliStartPage v14.76 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\CBXVSSP] -> C:\WINDOWS\SYSTEM32\cbxvssp.dll

Key Eliminada [WinLogon\Notify\PMNLJKI] -> C:\WINDOWS\SYSTEM32\pmnljki.dll

Key Eliminada [WinLogon\Notify\YAYVTUS] -> C:\WINDOWS\SYSTEM32\yayvtus.dll

Por favor, envienos una muestra del fichero

C:\Muestras\CBXVSSP.DLL.Muestra EliStartPage v14.76

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\CBXVSSP.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\PMNLJKI.DLL.Muestra EliStartPage v14.76

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMNLJKI.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\YAYVTUS.DLL.Muestra EliStartPage v14.76

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\YAYVTUS.DLL --> Renombrado a .VIR

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Oct 06 09:30:29 2007

EliStartPage v14.76 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\JKKLK.DLL --> Eliminado, Vundo6(notify)

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.09.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\rqrrqqo.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\RQRRQQO"

Desinstalado EliNotif.dll

Sat Oct 06 09:39:39 2007

EliStartPage v14.76 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminados Ficheros Temporales del IE

Sat Oct 06 09:39:49 2007

EliStartPage v14.76 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

Gracias de antemano por vuestra ayuda. Un saludo

Mensaje por **lucl** » 06 Oct 2007, 11:00

Pues procede a enviarnos los archivos que tienes en C en la carpeta muestras, y complementa analisis con elitriip, nos pegas el log como siempre, gracias, saludos

http://www.zonavirus.com/descargas/elitriip.asp

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

jllamata · Mensaje por **jllamata** » 06 Oct 2007, 11:17

Ficheros enviados, posteo log de Elitriip

Sat Oct 06 11:09:57 2007

EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsServicesStartup"="C:\DOCUME~1\JOSELU~1\CONFIG~1\Temp\svchost.exe 1"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Sat Oct 06 11:10:05 2007

EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-947222176-996991360-3146224851-1005\Dc332.exe --> Eliminado, Puce

Mensaje por **lucl** » 06 Oct 2007, 11:32

ok, mira de subir a virustotal este archivo si es que lo encuentras

c:\WINDOWS\system32\~~[b]~~dnrapguu.dll [/b]

te lo analizaran 32 antivirus y nos dices que resultado te dan, y de paso nos lo envias a nosotros tambien para que te demos la herramienta adecuada, saludos

te dejo link de virustotal

http://www.virustotal.com

jllamata · Mensaje por **jllamata** » 06 Oct 2007, 11:35

Imposible localizar el archivo con el buscador de windows

Mensaje por **lucl** » 06 Oct 2007, 11:51

Prueba a hacer esto y nos dices si lo localizas, saludos

Dentro de Mipc/Herramientas/Opciones de carpeta/Ver/Archivos y carpetas

ocultos "selecciona Mostrar archivos y carpetas ocultos/aplicar/aceptar.

jllamata · Mensaje por **jllamata** » 06 Oct 2007, 12:12

Intento fallido, despues de aplicar "ver archivos y carpetas ocultos" no encuentra nada, y en el buscador también incluí la busqueda de archivos y carpetas ocultos.

Mensaje por **lucl** » 06 Oct 2007, 12:18

Bueno esperemos entonces a los analisis de tus envios, y dinos si ha mejorado en algo tu pc despues del uso de elistara y de elitriip, gracias, saludos

jllamata · Mensaje por **jllamata** » 06 Oct 2007, 12:22

Gracias, esperaremos a los análisis....¿será por mi ignorancia que no localizo el archivo o puede ser otra la razón?

El comportamiento del sistema permanece igual...debo reiniciar cada 5 minutos, me da tiempo justo a mirar la respuesta, postear....y caput

Mensaje por **msc hotline sat** » 06 Oct 2007, 12:28

Puede estar oculto por la accion de un RootKit.

Pruea arrancar en modo seguro y buscarlo con Inicio -> Buscar -> Todas las carpetas y ficheros

saludos

ms, 6-10-2007

Mensaje por **msc hotline sat** » 06 Oct 2007, 12:32

Pero en este caso es porque debe haberse borrado dicho fichero, y habiendo una clave de RUNDLL32 que lo quiere cargar y no lo encuentra, muestra el mensaje de error indicado:

RUNDLL

X Error al cargar c:\WINDOWS\system32\dnrapguu.dll

No se puede encontrar el modulo especificado

Posteanos log del HJT y eliminaremnos la clave de carga en cuestion:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 6-10-2007

jllamata · Mensaje por **jllamata** » 06 Oct 2007, 12:54

Buenas,

He probado a buscar el archio en modo seguro sin resultado positivo.

Pego log de HJT:

Logfile of HijackThis v1.99.1

Scan saved at 12:52:17, on 06/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Dell\OpenManage\Client\Iap.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system\explorer.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\ARCHIV~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Logitech\Video\FxSvr2.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\JOSELU~1\CONFIG~1\Temp\Rar$EX00.796\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Archivos de programa\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [Windows Explorer Key] C:\WINDOWS\system\explorer.exe

O4 - HKLM\..\Run: [FolderView] rundll32.exe "C:\WINDOWS\system32\rnjpttpa.dll",sitypnow

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Iap - Dell Inc - C:\Archivos de programa\Dell\OpenManage\Client\Iap.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe

O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Gracias y un saludo

jllamata · Mensaje por **jllamata** » 06 Oct 2007, 12:56

jllamata · Mensaje por **jllamata** » 07 Oct 2007, 12:11

Se me olvidó comentar que continuamente aparecen ventanas emergentes con contenidos antivirus y antispyware, ademas redirecciona el explorador a estas mismas páginas.

Un saludo

Mensaje por **lucl** » 07 Oct 2007, 12:18

Pùes espera que te revise msc el log de hijackthis pues tengo duda con una clave y quisiera que lo mirara el primero, y recuerda que mañana te analizan los envios y te daran la herramienta, y por supuesto no piques en esos enlaces claro esta, saludos

Mensaje por **msc hotline sat** » 07 Oct 2007, 19:51

Muy raro que el EXPLORER lo cargues desde esta carpeta:

C:\WINDOWS\system\explorer.exe

y a traves de esta clave:

O4 - HKLM\..\Run: [Windows Explorer Key] C:\WINDOWS\system\explorer.exe

y este otro fichero es tambien atipico:

C:\WINDOWS\system32\rnjpttpa.dll

y otro igual que el EXPLORER, no es normal que se cargue desde esta carpeta:

O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe

Envianos estos ficheros para analizar y te informaremos:

C:\WINDOWS\system\NOTEPAD.exe

C:\WINDOWS\system32\rnjpttpa.dll

C:\WINDOWS\system\explorer.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 7-10-2007

Mensaje por **msc hotline sat** » 09 Oct 2007, 10:46

Pues analizadas las muestras, ya estan controladas con la actual version del ELISTaRA /ELINOTIF , pruebalo:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 9-10-2007

jllamata · Mensaje por **jllamata** » 09 Oct 2007, 18:52

Buenas,

Siento el retraso, pero las desconexiones me hacían dificil la tarea.

Acabo enviar muestra en un archivo.rar de notepad.exe

Los archivos rnjpttpa.dll y explorer.exe no aparecen en la carpeta C:\WINDOWS\system ni en C:\WINDOWS\system32

Posteo log de Elistar:

Tue Oct 09 18:28:20 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\BYXURSQ] -> C:\WINDOWS\SYSTEM32\byxursq.dll

Key Eliminada [WinLogon\Notify\GEBBCDE] -> C:\WINDOWS\SYSTEM32\gebbcde.dll

Key Eliminada [WinLogon\Notify\KHFCDCC] -> C:\WINDOWS\SYSTEM32\khfcdcc.dll

Key Eliminada [WinLogon\Notify\WVUTSTS] -> C:\WINDOWS\SYSTEM32\wvutsts.dll

Key Eliminada [WinLogon\Notify\pmnlm] -> C:\WINDOWS\SYSTEM32\PMNLM.DLL

Key Eliminada [WinLogon\Notify\NNNNNLI] -> C:\WINDOWS\SYSTEM32\NNNNNLI.DLL

C:\WINDOWS\SYSTEM32\BYXURSQ.DLL --> DownLoader.ConHook(notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\GEBBCDE.DLL --> Eliminado DownLoader.ConHook(notify)

C:\WINDOWS\SYSTEM32\KHFCDCC.DLL --> Eliminado DownLoader.ConHook(notify)

C:\WINDOWS\SYSTEM32\WVUTSTS.DLL --> Eliminado DownLoader.ConHook(notify)

C:\WINDOWS\SYSTEM32\PMNLM.DLL --> Vundo6(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\NNNNNLI.DLL --> Eliminado DownLoader.ConHook(notify)

C:\WINDOWS\SYSTEM32\MLNMP.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{0A8BCCB1-5A7E-4F99-BB4C-53C336A2C15A}" -> C:\WINDOWS\system32\pmnlm.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Oct 09 18:28:39 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\CBXVSSP.DLL.MUESTRA ELISTARTPAGE V14.76 --> Eliminado, DownLoader.ConHook(notify)

C:\Muestras\PMNLJKI.DLL.MUESTRA ELISTARTPAGE V14.76 --> Eliminado, DownLoader.ConHook(notify)

C:\Muestras\YAYVTUS.DLL.MUESTRA ELISTARTPAGE V14.76 --> Eliminado, DownLoader.ConHook(notify)

C:\RECYCLER\S-1-5-21-947222176-996991360-3146224851-1005\Dc338\AWTUSQQ.DLL.MUESTRA ELISTARTPAGE V14.76 --> Eliminado, DownLoader.ConHook(notify)

C:\RECYCLER\S-1-5-21-947222176-996991360-3146224851-1005\Dc338\GEBBAXU.DLL.MUESTRA ELISTARTPAGE V14.76 --> Eliminado, DownLoader.ConHook(notify)

C:\RECYCLER\S-1-5-21-947222176-996991360-3146224851-1005\Dc338\NNNKKHE.DLL.MUESTRA ELISTARTPAGE V14.76 --> Eliminado, DownLoader.ConHook(notify)

C:\RECYCLER\S-1-5-21-947222176-996991360-3146224851-1005\Dc338\RQRSRQN.DLL.MUESTRA ELISTARTPAGE V14.76 --> Eliminado, DownLoader.ConHook(notify)

C:\RECYCLER\S-1-5-21-947222176-996991360-3146224851-1005\Dc338\YAYABXY.DLL.MUESTRA ELISTARTPAGE V14.76 --> Eliminado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\BYXURSQ.DLL.VIR --> Acceso Denegado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\PMNLM.DLL --> Acceso Denegado, Vundo6(notify)

C:\WINDOWS\system32\YAYVTUS.DLL.VIR --> Eliminado, DownLoader.ConHook(notify)

C:\WinLogon\HGGDCYV.DLL --> Eliminado, DownLoader.ConHook(notify)

C:\WinLogon\PMNLJKI.DLL --> Eliminado, DownLoader.ConHook(notify)

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.09.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\PMNLM"

Desinstalado EliNotif.dll

Tue Oct 09 18:38:06 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Oct 09 18:38:11 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\BYXURSQ.DLL.VIR.VIR --> Eliminado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\PMNLM.DLL --> Eliminado, Vundo6(notify)

Mensaje por **lucl** » 09 Oct 2007, 19:08

Aun asi te han echo una buena limpieza, dinos si ha mejorado el pc y los archivos que has enviado se analizaran mañana con lo que estate atento a tu post, saludos

jllamata · Mensaje por **jllamata** » 09 Oct 2007, 19:37

Gracias,

El PC sigue perdiendo la conexión al poco de arrancar

Sigue apareciendo el error RUNDLL con el cuadrado y el palito

Un saludo

Mensaje por **msc hotline sat** » 09 Oct 2007, 19:52

Pues arranca en modo seguro, lanza el HJT y luego en modo normal nos envias el log y lo analizaremos:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

A ver si vemos la que dices que provoca error en RUNDLL...

saludos

ms, 9-10-2007

Mensaje por **msc hotline sat** » 10 Oct 2007, 17:16

Se ha recibido en SATINFO el fichero enviado por tí NOTEPAD.EXE

Dicho fichero es el bloc de notas del sistema operativo y no tiene virus.

Pero lo ques e te pedia es que posetaras el contenido el log generado por el HJT, y con un copiar y pegar lo postearas en tu proximo post de respuyesta a este Tema.

Veo que no lo habias entenidod, espero quede claro, además:

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

saludos

ms, 10-10-2007

jllamata · Mensaje por **jllamata** » 12 Oct 2007, 10:04

Buenas,

Posteo log de HJT:

Logfile of HijackThis v1.99.1

Scan saved at 10:00:00, on 12/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\JOSELU~1\CONFIG~1\Temp\Rar$EX00.906\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Archivos de programa\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [Windows Explorer Key] C:\WINDOWS\system\explorer.exe

O4 - HKLM\..\Run: [FolderView] rundll32.exe "C:\WINDOWS\system32\riqlkccx.dll",sitypnow

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

O4 - HKLM\..\RunOnce: [Borra Desinstalar_Delta_Force_2] command /c del "C:\Archivos de programa\FX Uninstall Information\Desinstalar_Delta_Force_2.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Iap - Dell Inc - C:\Archivos de programa\Dell\OpenManage\Client\Iap.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe

O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

En un post anterior me pediste que enviara muestra de notepad.exe y otros dos archivos que no encontré. Por eso lo envié a sationfo

Un saludo y muchas gracias de nuevo

Mensaje por **lucl** » 12 Oct 2007, 10:39

sigues teniendo estas claves

O4 - HKLM\..\Run: [Windows Explorer Key] C:\WINDOWS\system\explorer.exe

O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe

arranca tu pc en MOD0 SEGUR0 Y haz fix cheked en ellas, reinica normal y ejecuta hijackthis de nuevo a ver si se han ido, saludos

jllamata · Mensaje por **jllamata** » 12 Oct 2007, 19:59

Buenas,

He hecho lo que me indicas y esas claves ya no aparecen en el log de HJT.

Al abrir el navegador me redireccionaba a otras páginas de contenido antivirico así que decidí pasar de nuevo Elistar y este fue el resultado:

Fri Oct 12 19:41:36 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJGHIH] -> C:\WINDOWS\SYSTEM32\ljjghih.dll

Key Eliminada [WinLogon\Notify\YAYXYYA] -> C:\WINDOWS\SYSTEM32\yayxyya.dll

Key Eliminada [WinLogon\Notify\mljgd] -> C:\WINDOWS\SYSTEM32\MLJGD.DLL

Key Eliminada [WinLogon\Notify\MLJGD] -> C:\WINDOWS\SYSTEM32\MLJGD.DLL

C:\WINDOWS\SYSTEM32\LJJGHIH.DLL --> Eliminado DownLoader.ConHook(notify)

C:\WINDOWS\SYSTEM32\YAYXYYA.DLL --> DownLoader.ConHook(notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\MLJGD.DLL --> Vundo6(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\MLJGD.DLL --> Vundo6(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DGJLM.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{5CBDC5DD-E88E-48DF-B688-D4704C32BF6A}" -> C:\WINDOWS\system32\mljgd.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Oct 12 19:41:49 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MLJGD.DLL --> Acceso Denegado, Vundo6(notify)

C:\WINDOWS\system32\YAYXYYA.DLL.VIR --> Acceso Denegado, DownLoader.ConHook(notify)

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.09.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\MLJGD"

Desinstalado EliNotif.dll

Fri Oct 12 19:49:48 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Oct 12 19:49:55 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MLJGD.DLL --> Eliminado, Vundo6(notify)

C:\WINDOWS\system32\YAYXYYA.DLL.VIR.VIR --> Eliminado, DownLoader.ConHook(notify)

Como es posible que se reproduzcan Vundo y Conhook con esa facilidad?..

Hace 3 dias que los eliminé y vuelven a aparecer...

Parece que la conexión se ha estabilizado. Por si os puede servir de información, esto coincide porque eliminé el programa Skype, en el que observé que me daba un error con simbolos parecidos al que mencioné antes de RUNDLL.

Saludos

jllamata · Mensaje por **jllamata** » 12 Oct 2007, 20:00

Buenas,

He hecho lo que me indicas y esas claves ya no aparecen en el log de HJT.

Al abrir el navegador me redireccionaba a otras páginas de contenido antivirico así que decidí pasar de nuevo Elistar y este fue el resultado:

Fri Oct 12 19:41:36 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJGHIH] -> C:\WINDOWS\SYSTEM32\ljjghih.dll

Key Eliminada [WinLogon\Notify\YAYXYYA] -> C:\WINDOWS\SYSTEM32\yayxyya.dll

Key Eliminada [WinLogon\Notify\mljgd] -> C:\WINDOWS\SYSTEM32\MLJGD.DLL

Key Eliminada [WinLogon\Notify\MLJGD] -> C:\WINDOWS\SYSTEM32\MLJGD.DLL

C:\WINDOWS\SYSTEM32\LJJGHIH.DLL --> Eliminado DownLoader.ConHook(notify)

C:\WINDOWS\SYSTEM32\YAYXYYA.DLL --> DownLoader.ConHook(notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\MLJGD.DLL --> Vundo6(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\MLJGD.DLL --> Vundo6(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DGJLM.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{5CBDC5DD-E88E-48DF-B688-D4704C32BF6A}" -> C:\WINDOWS\system32\mljgd.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Oct 12 19:41:49 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MLJGD.DLL --> Acceso Denegado, Vundo6(notify)

C:\WINDOWS\system32\YAYXYYA.DLL.VIR --> Acceso Denegado, DownLoader.ConHook(notify)

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.09.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\MLJGD"

Desinstalado EliNotif.dll

Fri Oct 12 19:49:48 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Oct 12 19:49:55 2007

EliStartPage v14.79 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MLJGD.DLL --> Eliminado, Vundo6(notify)

C:\WINDOWS\system32\YAYXYYA.DLL.VIR.VIR --> Eliminado, DownLoader.ConHook(notify)

Como es posible que se reproduzcan Vundo y Conhook con esa facilidad?..

Hace 3 dias que los eliminé y vuelven a aparecer...

Parece que la conexión se ha estabilizado. Por si os puede servir de información, esto coincide con la eliminación del programa de mensajeria Skype, en el que observé un error con simbolos parecidos al que mencioné anteriormente de RUNDLL.

Saludos

Mensaje por **lucl** » 12 Oct 2007, 20:17

Debe haber algo que las reproduce de nuevo ejecuta hijackthis de nuevo pero en modo seguro y buscaremos la clave saludos

jllamata · Mensaje por **jllamata** » 12 Oct 2007, 20:19

Buenas, Aquí va:

Logfile of HijackThis v1.99.1

Scan saved at 10:00:00, on 12/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\JOSELU~1\CONFIG~1\Temp\Rar$EX00.906\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Archivos de programa\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [Windows Explorer Key] C:\WINDOWS\system\explorer.exe

O4 - HKLM\..\Run: [FolderView] rundll32.exe "C:\WINDOWS\system32\riqlkccx.dll",sitypnow

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

O4 - HKLM\..\RunOnce: [Borra Desinstalar_Delta_Force_2] command /c del "C:\Archivos de programa\FX Uninstall Information\Desinstalar_Delta_Force_2.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Iap - Dell Inc - C:\Archivos de programa\Dell\OpenManage\Client\Iap.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe

O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Mensaje por **lucl** » 13 Oct 2007, 12:59

[quote="lucl"]sigues teniendo estas claves

O4 - HKLM\..\Run: [Windows Explorer Key] C:\WINDOWS\system\~~[b]~~explorer.exe [/b]

O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\~~[b]~~NOTEPAD.exe [/b]

[/quote]

sigue la ruta y vuelve a enviarnoslas para su analisis saludos

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Mensaje por **lucl** » 13 Oct 2007, 13:06

Y haz una cosa coge este archivo que te indico

C:\WINDOWS\system32\~~[b]~~riqlkccx.dll[/b]",sitypnow

y subelo a virustotal que te lo analicen y dinos el resultado, saludos

http://www.virustotal.com